企业部署RPA应注意哪些风险和控制?
随着企业在数字化转型过程中对RPA的了解和应用,现在大家围绕RPA的困惑、好奇迎来一个拐点,企业的问题不再是“什么是RPA”,而是“为什么用”、“何时用”、“用多少”、“用在哪里”和“机器人有多快”等问题。企业的管理层都乐于利用RPA技术和实施来降低成本和简化流程,但也有人对风险、控制和合规的程度提出问题,风险控制意识在部署RPA的过程中越来越被重视。
在RPA兴起的初期大部分实施和案例集中在人力劳动成本中心(如BPO的部门),像惠普、埃森哲等IT企业都是第一批在企业内部开始实施RPA。实施过程中由于控制机制不足和产品本身不完善,出现密码和权限的安全性无法保证的风险,这样非常多的应用场景都无法去应用RPA,最后项目由于应用范围太少而无法达到ROI的期望最后不得不停止。还有的情况是,项目过程中没有做好流程风险的评估,设计过程没有充分考虑容错和阈值的情况,整体上线时间无法按期完成,整个设计的方案在UAT的阶段不停加入新的场景和容错控制(2个月),花费时间远超过原本开发时间,整个项目最终上线但是实施成本过高导致在最终ROI实现的时候并不能达标。
降低风险和保证合规性仍然是企业持续运营的基础之一,机器人部署可能既有传统风险又会引入新的、不可预见的风险。从风险和控制的角度来看,在RPA实施和运维过程中有以下几种具有代表性的担忧:
风险与控制框架
技术应用的合理性
RPA其中一个特征是无需真正集成到企业IT环境中即可部署它们,这是一把双刃剑。因为它们部署起来比较轻巧并且大部分公司都会有僵尸系统,这个时候可以用RPA来集成;然而它们可能掩盖遗留系统的问题,并可能延迟解决真正潜在问题的机会,公司将面临技术债务永续甚至增加的风险。为了避免这种情况,公司需要对如何以及何时部署和最终淘汰机器人具有清晰的愿景,并将其功能集成到公司整体的IT路径中。
维护和运维
与员工类似,机器人需要指导才能执行所需的活动。尽管根据定义的业务需求将机器人进行配置,但业务和系统变更会严重影响RPA的预期。仅仅去修改数据字段映射或者流程,并不能解决孤立和悬挂机器人,选择正确的流程,并在机器人设计中考虑后期的兼容性至关重要。
网络安全和数据隐私
RPA的实施会带来许多风险和内部特权访问权限,这些风险和潜在使用权限都将受到利用。这可能导致组织处理数据的机密性、完整性和可靠性受到威胁。应根据数据披露程度和组织内可用个人数据的范围来部署适当的网络安全和数据隐私控制。
流程管理和文档管理
缺乏标准化的流程,这通常导致解决方案针对业务部门定制的后果,从而导致错误并增加研发成本。在实施RPA之前,企业应首先标准化其主要流程、跨地域和业务部门的流程。
并且许多情况下,流程文档不会更新,因此很难管理更改。企业应确保所有文档针对输入,RPA逻辑处理,输出等信息的更新,以便在需要时易于进行任何更改。
项目缺乏明确的角色权责定义
业务部门倾向于认为某个特定的技术解决方案是IT的责任,而IT则将自己视为推动者而不是解决方案所有者,这导致了没有人为自动化错误和问题的情况负责。企业应在RPA项目初期明确定义每个相关者团队在项目中的角色权责,并确保相应部门能在项目中有对应的人员负责。
随着越来越多的企业开始应用RPA,它已经从人员、流程和技术的角度彻底改变了组织。目前来看,大部分企业正处于RPA自动化进程的初期,为避免在企业内引入潜在的系统性风险,计划实施RPA企业应该开始以下的准备:
风险与控制矩阵
1、加强监管和内部审计 - 阐明并记录项目愿景、评估方法、基本原理和对过程的风险控制考虑因素等。
2、创建和保存相关文档 - 创建文档库并连接到现有的风险和控制(GRC)平台,这些平台与过程、风险和控制相关联,保证可行性和可追溯性。
3、上线后生产中断计划 - 建立及时解决问题的处理程序,对相关业务操作的影响降至最低。
4、实施过程加入风险和控制的参与 - 考虑一个专门的工作流程,主动培养风险控制意识。
5、制定涉及人员的工作手册 - 认识到员工的角色和职责将因实施RPA而改变,但监督和监控对于促进控制和可持续性至关重要。